Ця інструкція пояснює, як налаштувати
двофакторну автентифікацію (2FA / MFA) для Array AG SSL VPN за допомогою системи багатофакторної автентифікації Protectimus.
Система багатофакторної автентифікації Protectimus інтегрується з Array AG SSL VPN через протокол автентифікації RADIUS. У цьому випадку хмарний сервіс або локальна 2FA платформа Protectimus виконує роль RADIUS-сервера, а Array VPN – клієнта RADIUS.
Нижче представлена схема роботи рішення Protectimus для двофакторної автентифікації в Array VPN.
1. Як працює двофакторна автентифікація для Array VPN
Рішення Protectimus для двофакторної автентифікації в Array AG SSL VPN забезпечує додатковий рівень захисту при вході в Array VPN.
Коли ви налаштуєте 2FA/MFA для Array VPN, ваші користувачі зможуть отримати доступ до своїх облікових записів лише після проходження двох етапів автентифікації.
- Першим етапом автентифікації є логін і пароль (те, що користувач знає).
- Другим етапом автентифікації є одноразовий пароль, згенерований за допомогою апаратного OTP-токена або додатку на смартфоні (речі, якою володіє користувач).
Щоб зламати Array VPN, захищену двофакторною автентифікацією, хакер повинен одночасно отримати стандартний пароль і одноразовий пароль, причому у нього є лише 30 секунд на злом. Це майже неможливо, і саме тому двофакторна автентифікація так ефективно захищає від брутфорсу, підробки даних, кейлогерів, фішингу, атак “людина посередині” та інших методів зловмисників.
2. Як налаштувати двофакторну автентифікацію для Array AG SSL VPN
Ви можете налаштувати багатофакторну автентифікацію (2FA) для Array VPN за допомогою Protectimus через протокол RADIUS:
- Зареєструйтесь у SAAS сервісі Protectimus або встановіть локальну платформу Protectimus та налаштуйте основні параметри.
- Встановіть та налаштуйте Protectimus RADIUS Server.
- Додайте Protectimus як RADIUS-сервер для Array AG SSL VPN.
2.1. Зареєструйтеся та налаштуйте основні параметри Protectimus
- Зареєструйтеся в хмарному сервісі Protectimus і активуйте API або встановіть локальну платформу Protectimus (якщо ви встановлюєте платформу Protectimus на Windows, не забудьте позначити опцію Radius).
- Додайте ресурс.
- Додайте користувачів.
- Додайте Токени або активуйте Портал самообслуговування користувачів.
- Призначте токени користувачам.
- Призначте токени з користувачами на ресурс.
2.2. Встановіть та налаштуйте Protectimus RADIUS Server
Детальні інструкції з установки та налаштування Protectimus RADIUS Server для двофакторної автентифікації в Array VPN через RADIUS можна знайти в нашому
Посібнику з налаштування Protectimus RADIUS Server.
2.3. Додайте Protectimus як RADIUS-сервер в Array VPN
- Увійдіть до панелі адміністрування Array VPN.
- Змініть режим на Config.
- Перейдіть до Virtual Site, використовуючи випадаюче меню в верхньому лівому куті.
- Знайдіть меню Site Configuration зліва та натисніть на AAA.
- Відкрийте вкладку General і поставте галочку біля Enable AAA.
- Перейдіть на вкладку Server і натисніть RADIUS.
- Введіть ім’я сервера у полі Server Name (наприклад, Protectimus RADIUS Server). Також можна додати опис у полі Description. Потім натисніть Add.
- Новостворений сервер з’явиться у списку серверів. Для доступу до розширених налаштувань RADIUS сервера двічі клацніть на його назву.
- Клацніть Add RADIUS Server на сторінці розширених налаштувань RADIUS сервера. Заповніть форму згідно з таблицею та зображенням нижче, а потім натисніть Save.
Server IP |
Введіть IP-адресу сервера, на якому встановлено компонент Protectimus RADIUS Server. |
Server Port |
Вкажіть порт 1812 (або той, який ви налаштували в файлі protectimus.yml під час конфігурації Protectimus RADIUS Server). |
Secret Password |
Вкажіть секретений ключ, який ви створили у файлі protectimus.yml (параметр radius.secret) під час налаштування Protectimus RADIUS Server. |
Timeout |
Встановіть значення 180 секунд. |
Redundancy Order |
Встановіть значення 1, якщо це ваш перший RADIUS сервер. |
Retries |
Встановіть значення 3. |
Accounting Port |
Вкажіть порт 1813. |
- Перейдіть на вкладку Method і натисніть Add Method.
- Введіть назву методу у полі Method Name (наприклад, Protectimus) та опис методу у полі Method Description (наприклад, Protectimus RADIUS Server). Потім виберіть AAA сервер у полі Authentication. AAA сервер – це сервер, який ви створили раніше (Protectimus RADIUS Server).
- Натисніть Save. Щойно створений метод з’явиться в таблиці на вкладці Method.
- Знайдіть випадаючий список AAA Method for Mobile VPN Clients і виберіть метод, який ви створили (Protectimus).
- Перейдіть у верхній правий кут панелі адміністратора Array VPN і натисніть Save Configuration.
Інтеграція двофакторної автентифікації (2FA/MFA) для вашого Array AG SSL VPN завершена. Якщо у вас є запитання, зверніться до
служби підтримки клієнтів Protectimus.